SLEUTH:基于COTS审计数据的实时攻击场景重构
2023-1-1 08:30:57 Author: 安全学术圈(查看原文) 阅读量:11 收藏

原文标题:SLEUTH: Real-time attack scenario reconstruction from COTS audit data
原文作者:Hossain M N(石溪大学/Stony Brook University ), Milajerdi S M(伊利诺大学芝加哥分校/University of Illinois at Chicago), Wang J(石溪大学)
发表会议:26th USENIX Security Symposium (USENIX Security 17)
原文链接:https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hossain.pdf
笔记作者:[email protected]
笔记小编:[email protected]

主要问题

  • 事件的存储和分析
  • 分析实体的优先级
  • 攻击场景重建
  • 处理正常使用的情况(攻击期间的正常活动,如软件下载)
  • 快速交互式推理(例如提供可能的猜想)

本文工作

  • 提出了一种实时重构企业主机攻击场景的方法和系统
    • 开发了一种与平台无关、基于内存、审计日志数据的依赖关系图抽象方法(dependency graph abstraction of audit-log data)(紧凑的主存依赖图表示),用于解决事件的高效存储和分析问题
    • 开发了一种基于标记的方法(tag-based approach),用于识别最有可能涉及攻击的主题、对象和事件,解决分析实体的优先级问题
    • 开发了利用标签进行根本原因识别和影响分析的新算法
    • 开发了用于标签初始化和传播的可定制策略框架(customizable policy framework for tag initialization and propagation)

SLEUTH

实验

总结与思考

  • 本文技术属于溯源图的范畴,将进程、文件等视为node,将其对应的操作视为edge,基于操作系统的日志来生成graph,通过标记tag的方式来寻找攻击的入口,另外使用了如基于主存、筛选节点等方式提高效率。生成graph的效果在实验结果给出的图中体现得比较清晰。
  • 本文系统的核心技术是tag的标定以及对应的策略框架,对应文中的第3、4节。但是具体的技术细节没有太详细地阐述,尤其是策略框架只给出了几个例子来说明,实验部分的结果亦无法看出节点对应的tag,再加上本文的代码没有开源,故要复现文中实验的效果可能还需要做相当多的工作。
安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com


文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTM5MTQ2MA==&mid=2247488434&idx=1&sn=7b9878b179bafc0e408d77db14191d3b&chksm=fe2eec39c959652f1e499c2748858a04dfe7dd2e65291b9ffe92917d9e8ca4ce62bc05b9d953#rd
如有侵权请联系:admin#unsafe.sh